Сурков Л.В. - Защита сетевого трафика с использованием IPsec и сертификатов, страница 7

Для большейнаглядности создадим одно собственное действие к фильтру. Фильтр будем создавать безиспользования мастера (следует убрать галочку Use Add Wizard (Использовать мастер)).Рис. 35.Действие к фильтру создалось с именем New Filter Action (Создание действия фильтра), ткна вкладке General (Общие) необходимо было ввести его имя. Исправим это,отредактировав его на SecurityAction.На данном этапе были созданы фильтры и действия к ним. Перейдем к созданиюнепосредственно политике безопасности.МГТУ им.

БауманаКафедра ИУ-642Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 36.Мастер предложит ввести имя политики безопасности, далее мастер спросит о созданииправила по умолчанию. Оно необходимо в случае, если входящее соединение предлагаетего сделать безопасным, а фильтр на соответвующее соединение отсутсвует. В этомслучае безопасное соединение будет установлено, несмотря на отсутствие фильтра.Рис. 37.Выбор метода аутентификации. Предлагается выбрать последний метод.МГТУ им. БауманаКафедра ИУ-643Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис.

38.Рис. 39.МГТУ им. БауманаКафедра ИУ-644Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 40.Рис. 41.МГТУ им. БауманаКафедра ИУ-645Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 42.Списки добавлены, политика сформирована.Теперь ее необходимо применить (assign (Применить))МГТУ им. БауманаКафедра ИУ-646Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Задание 1Задание: Установить транспортное безопасное соединение между двумя компьютерами,находящимися в разных сетях.

Компьютеры обмениваются секретной информацией поTCP на порт 5050. Для удостоверения в правильности настройки безопасное соединениебудем устанавливать и по протоколу ICMP. Схема соединения представлена на рисунке.Рис. 43.План выполнения:настроить маршрутизацию на одной машине (172.16.1.10/16<=>172.17.1.11)настроить сеть на остальных двух машинахнастройка IPsec на машинахo настройка IP-фильтровo настройка действий IP-фильтровo настройка политикиIPsec настраивается только на конечных машинах.Подразумеваем, что маршрутизация и сеть настроены.Настройка на обоих компьютерах абсолютно идентична. Поэтому, настроив одну измашин, можно экспортировать политику в IPsec-файл и импортировать на другой.Настройка фильтров:МГТУ им.

БауманаКафедра ИУ-647Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 44.Поля Description (Описание), Source DNS Name (DNS-имя источника) и Destination DNSName (DNS-имя приемника) скрыты.Настройка действий IP-фильтров.Рис. 45.МГТУ им.

БауманаКафедра ИУ-648Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Устанавливаем имя действию и выбираем самое сильное шифрование.Теперь создадим политикуЗададим имя потитике, правило по умолчанию использовать не будем, оставим галочку наEdit properties (изменить свойства), что бы сразу открылось окно свойств политики.Рис. 46.МГТУ им. БауманаКафедра ИУ-649Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 47.Рис. 48.МГТУ им. БауманаКафедра ИУ-650Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Вкладки Tunnel Settings (Параметры туннеля) и Connection Type (Тип подключения)оставляем без изменения.Рис.

49.Изменим лишь метод аутентификаци, т.к. в нашей структуре о домене ничего не сказано.Рис. 50.Настройка политики завершена, осталось ее активизировать:МГТУ им. БауманаКафедра ИУ-651Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 51.Теперь аналогичную настройку проведем на другой машине, перед этим экспортировавполитики в IPsec-файл и импортируем ее на другую машину:Рис.

52.Теперь убедимся, что все настройки привели к нужному результату.МГТУ им. БауманаКафедра ИУ-652Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11выполним команду ping с одной машины до маршрутизаторавыполним команду ping с одной машины до другой машиныМГТУ им. БауманаКафедра ИУ-653Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Задание 2Задание: Установить туннельное безопасное соединение между двумя сетями.

Весьтрафик обмена между сетями необходимо подписать. Схема соединения представлена нарисунке.Рис. 53.Фактически сеть выглядит следующим образом (если упростить облако Internet до одногомаршрутизатора).Рис. 54.МГТУ им. БауманаКафедра ИУ-654Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11С точки зрения интернета сеть выглядит так:Рис. 55.Поэтому если безопасная передача (или вообще обмен) устанавливается междукомпьютерами X3 и Y1, то X3 должен знать внешний адрес Y1 или если инициаторомпередачи выступает другой компьютер - Y1 должен знать внешний адрес X3.Из предыдущих высказываний следует что путь безопасного соединения IPsec неможет лежать через технологию NAT, тк NAT исправляет адреса источника либоприемника, что нарушает целостность пакета.

Из этого следует, для того чтобы локальныесети могли выходить в интернет и имели возможность безопасного обмена между собойнеобходимо поставить туннельные сервера в каждой сети:Рис. 56.Такое решение позволит трафику направленному из одной сети в другую идти в обходсерверов NAT, что позволит установить безопасное соединение.МГТУ им.

БауманаКафедра ИУ-655Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11План выполнения:Настроим на туннельном сервере 1 сеть 192.168.9.0/24 и сеть 131.107.0.0/16Настроим на туннельном сервере 2 сеть 172.16.0.0/24 и сеть 131.107.0.0/16Настроим сеть на машине 1.настройка IPsec на туннельных серверахo настройка IP-фильтровo настройка действий IP-фильтровo настройка политикиВ связи с ограниченными ресурсами – виртуальных машин всего три, создадиманалогичную, но измененную структуру:Рис. 57.Тесты будем проводить с машины РС1 на интерфейс 192.168.9.30Настройка IPsec проводится только на серверах. Предположим настраиваем туннельныйсервер сети 172.16.0.0/16.Фильтры и действия для туннельного сервера 1ИсточникНазначение172.16.0.0/16192.168.9.0/24Любой131.107.3.20Согласовать192.168.9.0/24172.16.0.0/16Любой131.107.2.20СогласоватьМГТУ им.

БауманаПротоколКонечная точкаДействиеКафедра ИУ-656Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Покажем основные пункты настройки.Рис. 58.Рис. 59.При настройке туннельного режима галочку mirrored необходимо обязательно снимать, инастраивать вручную отражение конечной точки туннеля. Иными словами создаватьобратное правило если это необходимо нужно вручную без использования mirrored.МГТУ им.

БауманаКафедра ИУ-657Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 60.Рис. 61.МГТУ им. БауманаКафедра ИУ-658Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11На рисунке показана настройка для туннельного сервера с адресом 131.107.2.20.Настройка политики для другого туннельного аналогична, стоит лишь поменять названияфильтров inbound IP traffic и outbound IP traffic на противоположные.Теперь для полной работоспособности осталось добавить статические маршруты на обоихсерверах.

Выход в 192.168.9.0/24 из 172.16.0.0/16 осуществляется через шлюз131.107.3.20. А выход в 172.16.0.0/16 из 192.168.9.0/24 через шлюз 131.107.2.20.Необходимо проверить работоспособность политики.Наблюдать за соединениями IPsec можно используя IPsecmon.exe (можно вызвать изкомандной строки Start->Run, если установлена система Windows 2000, либо добавивоснастку IP Security Monitor – для Windows 2003)МГТУ им.

БауманаКафедра ИУ-659Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Практическая часть (детальные операции)Запуск оснастки управления политикой безопасности IP1. Нажмите кнопку Пуск, выберите команду Выполнить, введите MMC и нажмитекнопку OK.2. Выберите Управление политикой безопасности IP и нажмите кнопку Добавить.3.

Выберите компьютер, политиками IPSEC которого требуется управлять.Выполните следующиеЧтобыУправлятьтолькодействиякомпьютером,накотором выполняется консоль.Управлятьдомена,членомЛокальныйкомпьютер.политикамиIPSECдлялюбого члена доменаУправлятьВыберитеВыберитеУправлятьполитикой домена для этогокомпьютера.политикамикоторогоIPSECкомпьютер,дляВыберитеУправлятьна политикой домена для другогокотором выполняется консоль, не являетсядомена.ВыберитеУправлять удаленным компьютеромДругойкомпьютер.4. Нажмите кнопку Готово, кнопку OK, а затем в меню Консоль выберите командуСохранить, чтобы сохранить настройки консоли.Чтобы добавить или изменить политику IPSEC1. В оснастке «Управление политикой безопасности IP» выберите создание новойполитики или изменение текущей.ЧтобыВыполните следующие действияВыберите в дереве консоли Политики безопасностиСоздатьновую политикуIP на описание, а затем выберите в меню Действие командуСоздатьполитикубезопасностиIP.Выполняйтеинструкции мастера политики безопасности IP до вывода наМГТУ им.